熟悉 NSX 恶意软件防护 中使用的关键术语。

云文件分析

云文件分析由在云中运行的 NSX Advanced Threat Prevention 服务完成。它涉及使用以下技术详细分析未知文件,以检测文件是正常、恶意还是可疑文件:
  • NSX 恶意软件防护 沙箱和行为分析
  • 统计算法
  • 人工智能和机器学习
  • 深层内容检查

仅当您选择在恶意软件防护安全配置文件中进行云文件分析时,NSX 才会通过安全连接向云发送未知文件。

文件事件

从主机上的 NSX Edge 或客户机虚拟机上的数据路径流量提取或拦截文件时生成的事件。在 NSX Edge 上,文件由 NSX IDPS 引擎提取,而在客户机虚拟机上,文件由客户机侦测 (GI) 瘦代理中的 NSX 文件侦测驱动程序提取。

本地文件分析

本地文件分析在启用 NSX 恶意软件防护NSX Edge 传输节点和 ESXi 主机传输节点上的 NSX 中完成。它涉及对照一组已知的文件哈希对未知文件进行轻量级扫描,以检测文件是正常、恶意还是可疑文件。

恶意软件类别

它是威胁类型。例如,恶意软件类包括病毒、特洛伊木马、蠕虫、广告软件、勒索软件、间谍软件等。

恶意软件系列

它是一个用于标识特定的一组恶意软件文件的名称,这些文件通常源自同一源代码或由同一个恶意软件作者开发。恶意软件系列包括 valyria、darkside 等。

信誉

有关文件、URL 或其他工件的威胁信息,提供文件、URL 的详细信息。

例如,文件的信誉可以包含以下详细信息:
  • 文件发布者的名称
  • 文件是否已签名(是或否)
  • 文件的签名机构
  • 文件的信誉类别(恶意软件、可疑、受信任)
  • 文件所属的恶意软件类。例如,特洛伊木马、后门程序、广告软件等。

文件信誉详细信息存储在云中,所有 NSX 客户均可访问。

威胁评分

它表示与文件关联的风险或恶意意图的程度。威胁评分越高,表示风险越大,反之亦然。

判定

NSX 恶意软件防护 报告有关文件的决策,这些文件在数据中心内的 NSX Edge(南北向流量)或客户机虚拟机(东西向流量)上截获。与文件有关的决定称为判定结果。判定结果可以是以下值之一。
描述

正常

文件正常或可以安全地下载。

受信任

基于文件的行为来看,文件是受信任的。

高度可信

该文件来自高度可信的源,例如 Microsoft、Apple、Adobe 等。

恶意

文件对数据中心有害或有威胁。

可疑

文件可能有害或是多余的。

未知

文件对 NSX 为未知,因此无法对文件作出决定。

未检查

NSX 恶意软件防护 不会检查此文件,因为您之前已禁止此文件或将此文件列入允许列表。

零日威胁

之前未出现在 NSX 中且不匹配任何已知恶意软件特征码的威胁。